--- title: "AI 에이전트 보안, 이제 권한이 아니라 ‘실행 증거’ 싸움으로 간다" published: 2026-06-24T16:05:03.657Z canonical: https://jeff.news/article/4338 --- # AI 에이전트 보안, 이제 권한이 아니라 ‘실행 증거’ 싸움으로 간다 오페이크가 AI 에이전트의 ID, 실행 환경, 도구 호출, 정책 적용 여부를 암호학적으로 검증하는 오페이크 3.0을 공개했다. 핵심은 에이전트 매니페스트와 컨피덴셜 MCP라는 두 오픈소스 기술이며, 기밀 컴퓨팅과 서명된 실행 증거를 결합해 감사자나 규제기관도 독립적으로 확인할 수 있게 하는 방향이다. AI 에이전트가 업무 시스템과 데이터를 직접 만지는 시대에는 접근 권한보다 ‘무슨 일을 했는지 증명할 수 있느냐’가 더 중요해지고 있다. ## AI 에이전트 보안의 초점이 바뀌는 중 - 오페이크가 AI 에이전트 신뢰 검증 플랫폼 ‘오페이크 3.0’을 공개함 - AI 에이전트의 ID, 실행 환경, 수행 작업, 정책 적용 여부를 암호학적으로 검증하는 게 핵심임 - 공개 시점은 2026년 6월 23일 컨피덴셜 컴퓨팅 서밋이고, 일반 제공은 2026년 7월 예정임 - 왜 이게 중요하냐면, AI 에이전트가 이제 단순 챗봇이 아니기 때문임 - 기업 업무에서 데이터 조회, 외부 도구 호출, 업무 시스템 실행까지 맡게 됨 - 기존 접근통제만으로는 에이전트가 실제로 어떤 일을 했는지, 승인된 정책 안에서 움직였는지 설명하기 어려움 - “권한이 있었나?”보다 “정책대로 실행됐다는 증거가 있나?”가 중요해지는 흐름임 > [!IMPORTANT] > AI 에이전트가 업무 시스템을 직접 호출하기 시작하면 로그만으로는 부족함. 누가 승인했고, 어떤 정책 아래서, 어떤 도구를 호출했는지 검증 가능한 증거가 필요해짐. ## 두 가지 오픈소스 기술 - 오페이크 3.0 발표의 핵심은 에이전트 매니페스트와 컨피덴셜 MCP임 - 에이전트 매니페스트(Agent Manifest)는 검증 가능한 AI 에이전트를 위한 오픈 표준으로 공개됨 - 컨피덴셜 MCP(Confidential MCP)는 MCP 실행 과정에 보안과 감사 기능을 결합한 구현임 - 기반에는 에이전트 거버넌스 툴킷(AGT)이 있음 - AGT는 오페이크의 임란 시디크가 마이크로소프트 재직 당시 만든 오픈소스 거버넌스 프레임워크임 - AI 에이전트가 수행할 수 있는 작업, 접근 가능한 데이터, 따라야 할 정책을 정의함 - 공개 후 6주 동안 깃허브에서 약 4100개의 스타를 확보했다고 함 - 에이전트 매니페스트는 에이전트의 신분증이자 실행 조건표에 가까움 - 기업은 에이전트가 어떤 ID로 실행되는지, 어떤 자원에 접근할 수 있는지, 누가 승인했는지, 어떤 정책을 따르는지 확인할 수 있음 - 런타임 무결성 검증과 연결돼, 실행 환경과 상태가 사전에 정의된 정책과 맞는지 검증함 - 승인되지 않았거나 변조된 에이전트가 정상 에이전트처럼 행동하는 위험을 줄이는 구조임 ## MCP 호출까지 검증한다 - 컨피덴셜 MCP는 외부 도구 호출을 보안 검증 대상으로 끌어올림 - MCP는 AI 에이전트가 외부 도구, 데이터, 업무 시스템과 연결되는 접점임 - 컨피덴셜 MCP는 기밀 런타임 안에서 동작하고, 거버넌스 정책을 하드웨어 기반으로 강제함 - 에이전트가 수행한 모든 도구 호출과 작업에 독립적으로 검증 가능한 증거가 생성됨 ```mermaid sequenceDiagram participant 에이전트 participant 매니페스트 participant 컨피덴셜MCP participant 업무도구 participant 감사자 에이전트->>매니페스트: ID·승인·정책 확인 매니페스트-->>컨피덴셜MCP: 실행 조건 전달 에이전트->>컨피덴셜MCP: 도구 호출 요청 컨피덴셜MCP->>업무도구: 정책 통과 호출 실행 컨피덴셜MCP-->>감사자: 서명된 실행 증거 제공 ``` - 감사자와 규제기관이 독립적으로 확인할 수 있다는 점도 큼 - 기업이나 오페이크 자체를 신뢰하지 않아도, 서명된 실행 증거를 확인할 수 있는 구조로 설명됨 - 에이전트가 어떤 도구를 호출했고 어떤 정책 아래 실행됐는지 검증하는 데 쓰임 - 하드웨어 지원 범위도 넓게 잡고 있음 - 오페이크 3.0은 인텔, AMD, 엔비디아의 CPU 기반 기밀 컴퓨팅 플랫폼에서 동작함 - 엔비디아 컨피덴셜 컴퓨팅 환경에서는 GPU도 신뢰 실행 환경(TEE)에 포함됨 - 퍼블릭 클라우드, 프라이빗 클라우드, 온프레미스 모두에서 운영할 수 있다고 소개됨 ## 주권형 AI와 포스트 양자암호까지 연결 - 오페이크는 아랍에미리트 기술혁신연구소(TII)를 창립 파트너로 소개함 - TII는 주권형 AI 구축 환경에서 개방형 검증 표준을 적용하려는 쪽임 - 양사는 TII의 포스트 양자암호(Post-Quantum Cryptography)를 오페이크 3.0에 결합할 계획임 - 목적은 에이전트 ID와 서명된 증거가 향후 양자컴퓨팅 환경에서도 검증 가능하도록 만드는 것임 - 업계 메시지는 한 줄로 정리됨 - AI 에이전트가 더 자율적으로 움직일수록, 보안도 접근 권한 관리에서 실행 증거와 독립 감사 체계로 확장돼야 함 - 모델 보호와 데이터 접근통제만으로는 부족하고, 에이전트가 실제로 수행한 작업까지 증명해야 함 --- ## 기술 맥락 - 오페이크 3.0의 선택은 “에이전트에게 권한을 줄 것인가”가 아니라 “에이전트가 권한 안에서 움직였다는 걸 어떻게 증명할 것인가”에 있어요. 기업 업무 시스템에 붙은 에이전트는 데이터 조회와 도구 호출을 실제로 수행하니까, 단순 로그인 기록만으로는 부족하거든요. - 컨피덴셜 MCP가 중요한 이유는 MCP가 에이전트의 손발 역할을 하기 때문이에요. 에이전트가 외부 도구를 호출하는 지점에서 정책을 강제하고 증거를 남기면, 나중에 감사할 때 “무슨 일이 있었는지”를 훨씬 명확하게 볼 수 있어요. - 기밀 컴퓨팅을 쓰는 이유도 여기서 나와요. 실행 환경 자체가 변조되지 않았고, 정해진 정책이 하드웨어 수준에서 적용됐다는 증거를 만들 수 있어야 신뢰가 생기거든요. - 포스트 양자암호까지 언급한 건 장기 검증을 의식한 선택이에요. 에이전트 실행 증거가 규제나 분쟁 대응에 쓰일 수 있다면, 몇 년 뒤에도 그 서명이 신뢰 가능해야 하니까요. - 한국 기업도 에이전트를 내부 업무에 붙일수록 비슷한 질문을 마주하게 돼요. “접근 권한을 줬다”에서 끝내지 말고, 누가 승인했고 어떤 정책으로 어떤 도구를 호출했는지 남기는 구조가 필요해져요. ## 핵심 포인트 - 오페이크 3.0은 AI 에이전트의 ID, 실행 환경, 작업, 정책 적용 여부를 암호학적으로 검증하는 플랫폼임 - 에이전트 매니페스트는 AI 에이전트의 승인자, 접근 자원, 적용 정책, 실행 조건을 증거화함 - 컨피덴셜 MCP는 MCP 기반 외부 도구 호출에 기밀 런타임과 감사 가능한 서명 증거를 붙임 - 인텔, AMD, 엔비디아의 기밀 컴퓨팅 환경에서 동작하며, 엔비디아 환경에서는 GPU도 신뢰 실행 환경에 포함됨 ## 인사이트 AI 에이전트 보안은 이제 ‘이 계정에 권한 줘도 됨?’에서 ‘이 에이전트가 실제로 뭘 했는지 증명 가능함?’으로 넘어가고 있다. 기업에서 에이전트를 업무 시스템에 붙이려면 로그 수준이 아니라 검증 가능한 실행 증거가 필요해질 가능성이 큼.